Android : attention à ces applications qui volent vos coordonnées bancaires
Depuis quatre mois, douze applications Android avaient déjoué les protections du Play Store. Elles permettaient de collecter des données personnelles dont les informations bancaires. Elles ont été très difficiles à détecter. Google les a retirées.
Elles sont au nombre de douze et ont mis du temps à être découvertes par les chercheur en cybersécurité de ThreatFabric. Il s’agit d’un lot d’applications du Play Store pour Android vérolées. Elles sont passées au travers des systèmes de sécurité. Téléchargées plus de 300.000 fois, depuis quatre mois, elles enfermaient des chevaux de Troie bancaires qui venaient siphonner les mots de passe des utilisateurs et les codes d’authentification à deux facteurs.
Les frappes au clavier étaient aussi relevées et le malware en profitait également pour prendre des captures d’écran. Les applications semblant vertueuses, comme un scanner de codes QR, ou bien pour créer des PDF, ou encore de gestion de crypto-monnaie, enfermaient jusqu’à quatre familles de malwares. Les chercheurs ont eu bien du mal à détecter la charge nuisible de ces applications et c’est exactement grâce à cette faible signature qu’elles sont passées sous les radars des systèmes de détection automatique de Google. Il faut préciser que c’est après l’installation de l’application que les charges utiles étaient rapatriées sous la forme de mises à jour issues de sources autres que le Play Store.
Les créateurs de ces malwares sont malins puisque, pour ne pas attirer l’attention, l’installation du code malveillant n’était pas systématique et ils ne ciblaient que certaines zones géographiques. De même, les applications avaient tout l’air d’être légitimes et disposaient d’ailleurs d’avis positifs. Elles fonctionnaient de façon normale et remplissaient normalement la tâche pour laquelle elles avaient été conçues. Le cheval de Troie bancaire ayant le plus opéré porte le nom d’Anatsa. Les trois autres s’appellent Alien, Hydra et Ermac. Tous étaient inoculés via un module baptisé Gymdrop. En n’allant pas chercher systématiquement la charge utile, c’est lui qui permettait de ne pas attirer l’attention des systèmes de sécurité.
Alors que la semaine dernière, neuf millions de smartphones ont été contaminés par une application présente sur l’AppGallery de Huawei, la détection des malwares reste toujours un des principaux soucis dans les boutiques d’applications et notamment chez Google. Depuis les dix dernières années, de nombreuses applications vérolées ont pu trouver leur place dans le Play Store. Elles sont retirées immédiatement après avoir été détectées ; mais, comme cet exemple le montre, malgré des systèmes de protection avancés, les pirates ont toujours un coup d’avance pour les duper.
